home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0094.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  14.9 KB  |  343 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-95:07a       
  6. Original issue date:  April 21, 1995
  7. Last revised: August 30, 1996
  8.               Information previously in the README was inserted
  9.               into the advisory.
  10.  
  11. A complete revision history is at the end of this file.
  12.                    
  13. Topic: SATAN Vulnerability: Password Disclosure
  14. - -----------------------------------------------------------------------------
  15.  
  16.                    *** This is a revised CERT advisory.***
  17.                It addresses inaccurate information in CA-95:07
  18.                  and contains information about SATAN 1.1.1.
  19.                          *** Supersedes CA-95:07 ***
  20.  
  21. There was a potential vulnerability introduced into systems running SATAN 1.0
  22. and earlier, as described below. The problem has been addressed in version 1.1
  23. and later. The CERT/CC team recommends that you take the precautions described
  24. in Section III below before you run SATAN and that you upgrade to the latest
  25. version of SATAN--currently 1.1.1.
  26.  
  27. The following two statements from CA-95:07 are inaccurate.
  28.  
  29. 1. This statement is incorrect: "Note that SATAN 1.1 is expected to check
  30.    systems for this SATAN 1.0 vulnerability as part of scanning other
  31.    systems." 
  32.  
  33. 2. This statement is misleading: "This vulnerability affects all systems 
  34.    that support the use of SATAN with the HTML interface."  For SATAN 1.0 
  35.    and earlier, whether a system is vulnerable depends on the system
  36.    configuration, the net browser supporting SATAN, and how SATAN is used.
  37.    The problem has been solved in later versions of SATAN.
  38.  
  39. We will update this advisory as we receive additional information.
  40. Please check advisory files regularly for updates that relate to your site.
  41.  
  42. For an overview of a beta version of SATAN, see CERT advisory CA-95:06.
  43.  
  44. - -----------------------------------------------------------------------------
  45.  
  46. I.   Description
  47.  
  48.      In SATAN version 1.0, access to the SATAN processes is protected by a
  49.      session key (also referred to as a "magic cookie" or "password"). SATAN
  50.      itself never sends this session key over the network. However, depending
  51.      on the configuration at your site, the supporting HTML browser, and how
  52.      you use SATAN, your session key may be disclosed through the network.
  53.      Local or remote users who obtain your session key can run perl scripts
  54.      that are on the system running SATAN.    
  55.  
  56.      If you use SATAN only through the command line interface, your system is
  57.      not vulnerable to the problem because there is no session key.
  58.  
  59.      Additional details are in the "SATAN Password Disclosure" tutorial
  60.      provided with SATAN. We have included the tutorial as an Appendix B of
  61.      this advisory.  
  62.  
  63. II.  Impact
  64.  
  65.      If the session key is disclosed while SATAN 1.0 is running, unauthorized
  66.      local or remote users can execute perl scripts as the user of the process
  67.      running SATAN (typically root).  
  68.  
  69. III. Solution
  70.  
  71.      1. Obtain and install SATAN version 1.1.1, which addresses the problem.
  72.         For details on how the problem is addressed, see the section entitled
  73.         "Additional SATAN Defenses" in the SATAN Password Disclosure tutorial.
  74.         The SATAN authors also provide guidance on protecting access; see the
  75.         tutorial section, "Preventing SATAN Password Disclosure."  
  76.         SATAN 1.1.1 is available from many sites, including
  77.  
  78.              ftp://ftp.win.tue.nl/pub/security/satan-1.1.1.tar.Z
  79.              ftp://ftp.win.tue.nl/pub/security/satan-1.1.1.README
  80.              ftp://ftp.win.tue.nl/pub/security/satan-1.1.1.tar.Z.asc         
  81.     
  82.              MD5 (satan-1.1.1.tar.Z) = de2d3d38196ba6638b5d7f37ca8c54d7
  83.              MD5 (satan-1.1.1.README) = 3f935e595ab85ee28b327237f1d55287
  84.              MD5 (satan-1.1.1.tar.Z.asc) = a9261070885560ec11e6cc1fe0622243
  85.  
  86.         To locate other sites, you can send mail to
  87.              majordomo@wzv.win.tue.nl
  88.  
  89.         and put in the body of the message (not the subject line):
  90.              get satan mirror-sites
  91.  
  92.         There are reports of modified copies of SATAN, so ensure that the copy
  93.         that you obtain is authentic by checking the MD5 checksum or SATAN
  94.         author Wietse Venema's PGP signature. Appendix A of this advisory
  95.         contains his PGP key.
  96.  
  97.         We urge you to read the SATAN documentation carefully before
  98.         running SATAN.
  99.  
  100.      2. We also recommend that you take the following precautions:
  101.  
  102.         * Install all relevant security patches for the system on which you
  103.           will run SATAN. 
  104.  
  105.         * Execute SATAN only from the console of the system on which it is
  106.           installed (e.g., do not run SATAN from an X terminal, from a
  107.           diskless workstation, or from a remote host). 
  108.  
  109.         * Ensure that the SATAN directory tree is not NFS-mounted (or AFS,
  110.           etc.) from a remote system. 
  111.  
  112.         * Ensure that the SATAN directory tree cannot be read by users other
  113.           than root.
  114.  
  115.         * Do not open any URLs outside your own system and site while
  116.           running the browser started by SATAN. For example, do not use
  117.           previously stored URLs such as those found in bookmarks and
  118.           pull-down menus. 
  119.  
  120.         *  Do not link to any URLs outside your own system and site while
  121.            running the browser started by SATAN. If you use external links
  122.            while SATAN is running from the SATAN browser, security can be
  123.            compromised on the system from which you are executing SATAN. So,
  124.            for example, do not use previously stored links such as those found
  125.            in bookmarks and pull-down menus. 
  126.  
  127. - ------------------------------------------------------------------------------
  128. Appendix A: Wietse Venema's PGP Key
  129.  
  130. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  131. Version: 2.6
  132.  
  133. mQCNAirDhV8AAAED/i4LrhQ/mwOgam8ZfQpEcxYoE9kru5oRDGtoVeKae/4bUver
  134. aGX7qVtskD6vwPwr2FF6JW2c+z2oY4JGPGUArORiigoT82/q6vqT0Wm1jIPsXQSB
  135. ZCkBoyvBcmXEi+J7eDBbWLPDxeDimgrORbAIQ4uikRafs8KlpNyA8qbVMny5AAUR
  136. tCV3aWV0c2UgdmVuZW1hIDx3aWV0c2VAd3p2Lndpbi50dWUubmw+
  137. =PQUu
  138. - -----END PGP PUBLIC KEY BLOCK-----
  139.  
  140.  
  141. - ------------------------------------------------------------------------------
  142. Appendix B: Tutorial - SATAN Password Disclosure
  143.  
  144. The following tutorial can be found in
  145.     satan-1.1.1/html/tutorials/vulnerability/SATAN_password_disclosure.html
  146.  
  147. SATAN Password Disclosure
  148.  
  149. SUMMARY
  150.  
  151.     SATAN password disclosure via flawed HTML clients or environmental
  152.     problems
  153.  
  154. IMPACT
  155.  
  156.     Unauthorized users may execute commands through SATAN
  157.  
  158. BACKGROUND
  159.  
  160.     By default, SATAN runs as a custom HTML (hypertext markup language)
  161.     server, executing requests from a user-provided HTML browser, or
  162.     client program.  Examples of common HTML clients are Netscape, NCSA
  163.     Mosaic and Lynx.
  164.  
  165.     An HTML client request is nothing but a network message, and
  166.     network messages may be sent by any user on the network.  To defend
  167.     itself against requests from unauthorized users, SATAN takes the
  168.     following precautions:
  169.  
  170.     * SATAN generates a session key, to be used as a secret password,
  171.       each time it starts up an HTML client.  The session key is in the
  172.       form of a 32-byte quasi-random number.  The number is called
  173.       quasi-random because it is impossible to generate real random
  174.       numbers using only software.
  175.  
  176.     * SATAN creates HTML files with the secret password embedded in URL
  177.       (uniform resource locator) links. The HTML file access
  178.       permissions are restricted to the owner of the SATAN process (and
  179.       the superuser).
  180.  
  181.     * SATAN rejects HTML requests whose URL does not contain the
  182.       current SATAN password. This requirement prevents access by
  183.       unauthorized clients, provided that the current SATAN password is
  184.       kept secret.
  185.  
  186.     The protection scheme used by SATAN is in essence the same as the
  187.     scheme used by many implementations of the X Window system: MIT
  188.     magic cookies. These secrets are normally kept in the user's home
  189.     directory, in a file called .Xauthority. Before it is granted
  190.     access to the screen, keyboard and mouse, an X client program needs
  191.     to prove that it is authorized, by handing over the correct magic
  192.     cookie.  This requirement prevents unauthorized access, provided
  193.     that the magic cookie information is kept secret.
  194.  
  195. THE PROBLEM
  196.  
  197.     It is important that the current SATAN password is kept secret.
  198.     When the password leaks out, unauthorized users can send commands
  199.     to the SATAN HTML server where the commands will be executed with
  200.     the privileges of the SATAN process.
  201.  
  202.     Note that SATAN generates a new password every time you start it up
  203.     under an HTML client, so if you are suspicious, simply restart the
  204.     program.
  205.  
  206.     SATAN never sends its current password over the network. However,
  207.     the password, or parts of it, may be disclosed due to flaws in
  208.     HTML clients or due to weak protection of the environment that
  209.     SATAN is running in.  One possible scenario for disclosure is:
  210.  
  211.     * When the user selects other HTML servers from within a SATAN
  212.       session, some HTML client programs (Netscape and Lynx) disclose
  213.       the current SATAN URL, including SATAN password information.  The
  214.       intention of this feature is to help service providers find out
  215.       the structure of the world-wide web.  However, the feature can
  216.       also reveal confidential information. With version 1.1 and later,
  217.       SATAN displays a warning when the HTML client program exhibits
  218.       this questionable (i.e. stupid) feature.
  219.  
  220.     Other scenarios for SATAN password disclosure are discussed in the
  221.     next section, as part of a list of counter measures.
  222.  
  223. PREVENTING SATAN PASSWORD DISCLOSURE
  224.  
  225.     The security of SATAN is highly dependent on the security of
  226.     environment that it runs in. In the case of an X Window
  227.     environment:
  228.  
  229.     * Avoid using the xhost mechanism, but use xauth and MIT magic
  230.       cookies or better. Otherwise, unauthorized users can see and
  231.       manipulate everything that happens with the screen, keyboard and
  232.       mouse.  Of course, this can also be a problem when you are not
  233.       running the SATAN program at all.
  234.  
  235.     Steps that can help to keep the X magic cookie information secret:
  236.  
  237.     * Avoid sharing your home directory, including .Xauthority file,
  238.       with other hosts. Otherwise, X magic cookie information may be
  239.       captured from the network while the X software accesses that
  240.       file, so that unauthorized users can take over the screen,
  241.       keyboard and mouse.
  242.  
  243.     * Avoid running X applications with output to a remote display.
  244.       Otherwise, X magic cookie information can be captured from the
  245.       network while X clients connect to the remote display, so that
  246.       unauthorized users can take over the screen, keyboard and mouse.
  247.  
  248.     Finally, steps that can help to keep the current SATAN password
  249.     secret:
  250.  
  251.     * Avoid sharing the SATAN directories with other hosts. Otherwise,
  252.       SATAN password information may be captured from the network while
  253.       the HTML software accesses passworded files, so that unauthorized
  254.       users can take over the SATAN HTML server.
  255.  
  256.     * Avoid running SATAN with output to a remote display. Otherwise,
  257.       SATAN password information can be captured from the network while
  258.       URL information is shown on the remote display, so that
  259.       unauthorized users can take over the SATAN HTML server.
  260.  
  261. ADDITIONAL SATAN DEFENSES
  262.    
  263.     The SATAN software spends a lot of effort to protect your computer
  264.     and data against password disclosure. With version 1.1 and later,
  265.     SATAN even attempts to protect you after the password has fallen
  266.     into the hands of unauthorized users:
  267.  
  268.     * SATAN displays a warning and advises the user to not contact
  269.       other HTML servers from within a SATAN session, when it finds
  270.       that the HTML client program reveals SATAN password information
  271.       as part of parent URL information.
  272.  
  273.     * SATAN rejects requests that appear to come from hosts other than
  274.       the one it is running on, that refer to resources outside its own
  275.       HTML tree, or that contain unexpected data.
  276.  
  277.     * SATAN terminates with a warning when it finds a valid SATAN
  278.       password in an illegal request: SATAN assumes the password has
  279.       fallen into the hands of unauthorized users and assumes the
  280.       worst.
  281.  
  282. - ------------------------------------------------------------------------------
  283. The CERT Coordination Center staff thanks Wietse Venema for his cooperation
  284. and assistance with this revised advisory.
  285. - ------------------------------------------------------------------------------
  286.  
  287. If you believe that your system has been compromised, contact the CERT
  288. Coordination Center or your representative in the Forum of Incident
  289. Response and Security Teams (FIRST).
  290.  
  291. If you wish to send sensitive incident or vulnerability information to
  292. CERT staff by electronic mail, we strongly advise that the e-mail be
  293. encrypted.  The CERT Coordination Center can support a shared DES key, PGP
  294. (public key available via anonymous FTP on info.cert.org), or PEM (contact
  295. CERT staff for details).
  296.  
  297. Internet E-mail: cert@cert.org
  298. Telephone: +1 412-268-7090 (24-hour hotline)
  299.            CERT personnel answer 8:30 a.m.-5:00 p.m. EST(GMT-5)/EDT(GMT-4),
  300.            and are on call for emergencies during other hours.
  301. Fax: +1 412-268-6989
  302.  
  303. Postal address:  CERT Coordination Center
  304.                  Software Engineering Institute
  305.                  Carnegie Mellon University
  306.                  Pittsburgh, PA 15213-3890
  307.                  USA
  308.  
  309. CERT advisories and bulletins are posted on the USENET newsgroup
  310. comp.security.announce. If you would like to have future advisories and
  311. bulletins mailed to you or to a mail exploder at your site, please send mail
  312. to cert-advisory-request@cert.org.
  313.  
  314. Past advisories, CERT bulletins, information about FIRST representatives, and
  315. other information related to computer security are available for anonymous 
  316. FTP from info.cert.org. 
  317.  
  318.  
  319. Copyright 1995 Carnegie Mellon University
  320. This material may be reproduced and distributed without permission provided it
  321. is used for noncommercial purposes and the copyright statement is included.
  322.  
  323. CERT is a service mark of Carnegie Mellon University.
  324.  
  325. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  326. Revision history
  327.  
  328. Aug. 30, 1996 - Information previously in the CA-95:07 and CA-95:07a README
  329.                 files was inserted into the advisory.
  330.  
  331.  
  332.  
  333. -----BEGIN PGP SIGNATURE-----
  334. Version: 2.6.2
  335.  
  336. iQCVAwUBMiS43HVP+x0t4w7BAQGs4QQAh3QpG+hIjGXXW6yhNq1b0AK0YSrkKFsT
  337. SFZLpSy+m0NgmGrdKMt9hlQ01Bu7jGnInsMWY67ee1vej9FNGZgAgUTyk9TYxbHW
  338. OD7WQGHqvS8MfJ540hvyYxtS8Kn+DBg/nqBjHhOd3xNDCu6w6nq6tIPK4CR4tdYI
  339. 7bkq5eZlPYo=
  340. =v+ox
  341. -----END PGP SIGNATURE-----
  342.  
  343.